Personvernåret 2025 har vært preget av en rekke viktige nyheter og avgjørelser. I årsoppsummeringen her fremhever vi noen av sakene som har preget personvernnyhetsbildet i året som gikk. Vi takker for følget i 2025 og ser frem til å arbeide med personvern og cybersikkehet sammen med våre kunder og samarbeidspartnere også i 2026.
FORESLÅTTE ENDRINGER I GDPR
På forsommeren i år kom EU-kommisjonen med noen forslag om endringer i personvernforordningen (GDPR) for å spare Europa (og Norge) for byråkrati og for å øke vår konkurransekraft. De foreslåtte endringene var mye mindre omfattende enn hva mange hadde forventet. Den mest sentrale forenklingen knyttet seg til at unntaket for hvilke virksomheter som må føre behandlingsprotokoll ville utvides noe. Mange var skuffet over forslagene.
Senhøstes kom forslaget formelt sett og EU kommisjonen foreslo omfattende endringer, forenklinger og samordninger i GDPR og andre rettsakter knyttet til teknologi og digitalisering igjennom EUs Digital Omnibus. Forslagene har til mål å klargjøre og harmonisere anvendelsen av regelverket, spesielt knyttet til den digitale utviklingen. Blant de viktigste forslagene er en endring i definisjonen av personopplysninger, hvor data ikke lenger skal anses som personopplysninger dersom den som besitter personopplysningene ikke har midler som med rimelig sannsynlighet vil bli brukt til å identifisere personen. En presisering og innsnevring av hva som skal anses som personopplysninger er noe mange nok ser frem til, særlig i og med EDPS v SRB-avgjørelsen (C-413/23 P) som kom i år, se nedenfor.
Videre foreslås en ny hjemmel for behandling av særlige kategorier av personopplysninger ved utvikling av KI, samt en ny definisjon av forskningsformål som er forenelig med det opprinnelige formålet. Meldefristen for brudd på persondatasikkerheten er foreslått utvidet, samtidig som terskelen for å melde avvik heves til kun å omfatte høyrisikobrudd. Forslaget inneholder også forenklinger knyttet til DPIA-vurderinger og avklaringer om hva som utgjør automatiske individuelle avgjørelser. Til slutt foreslås det en mulighet for å gjøre unntak fra innsynsreglene der formålet med innsyn avviker fra personvernhensyn. Se Teknologi-faggruppens årsoppsummering for mer informasjon om forenklingene og samordningen i de øvrige teknologi-relaterte rettsaktene.
COOKIES OG SPORINGSTEKNOLOGI FOR MARKEDSFØRING OG ANALYTICS
Ved nyttår i 2025 innførte Norge ny ekomlov med samtykkekrav for cookies og annen sporingsteknologi. Samtykkekravet gjelder alle teknologier som samler inn fra eller skriver data til fra internettbrukeres utstyr, som telefon, laptop og nettbrett. Disse teknologiene omfatter både cookies, pixel, konverteringsmålinger og ifølge Personvernrådet også server side tracking (sporing hvor din server deler data med leverandør av markedsførings-, analytics- eller konverteringsmålingstjenester).
Ny ekomlov medførte at det i Norge ble nødvendig med samtykke for å gjøre enkel analytics/statistikkinnsamling for trafikk til et nettsted. Vi synes dette er en mindre god løsning fordi enkel analytics/statistikkinnsamling ofte er tillatt etter GDPR – da uten samtykke. Krav om samtykke øker dessuten behovet for «cookiebanner» på nettsteder, og som mange internettbrukere synes er forstyrrende.
Datatilsynet har hatt fokus på nettsteders bruk av pixelteknologi i 2025. Pixelteknologi er en tjeneste fra blant annet de store sosiale mediene som Facebook og TikTok, som kan måle handlinger og interesser fra enkeltbruker som besøker et nettsted. Teknologien er potensielt personverninngripende, avhengig av hvordan den konfigureres, fordi den kan måle detaljert hva en nettstedbesøkende gjør på et nettsted under et enkeltbesøk. Persondata deles med det sosiale mediet og som bruker disse data også for deres egne formål. Teknologien er samtidig fin for annonsører og nettstedeiere for å personalisere markedsføring, måle effekt av digital markedsføring og også få innsikt i kundenes interesser og handlinger, men bør absolutt ikke brukes ukritisk.
Datatilsynet gjorde i 2025 et tilsyn for pixelbruk på seks norske nettsteder. De fant at aktører som nettapotek, nettsteder for barn i vanskelige situasjoner og nettsteder for religion og sykdom alle delte høyt beskyttelsesverdige personopplysninger om besøkendes adferd og interesser med sosiale medier gjennom pixel. Nettstedene var neppe klar over at det var dette som skjedde. Datatilsynets hovedmål med tilsynet var å øke bevisstheten om (særlig farer ved) pixelteknologi, og tilsynet valgte i denne runden kun å gi irettesettelser med unntak av en liten bot til én aktør, for GDPR-bruddene sporingen og datadelingen medførte. Ved neste tilsyn vil nok klare regelbrudd gi høye bøter.
Dette viser viktigheten av at nettsteder som bruker sporingsteknologi må forstå hvilken datainnsamling og deling som skjer. Teknologien endrer seg hyppig og standardoppsettet er ikke nødvendigvis riktig for nettstedet. Vi i Føyen jobber kontinuerlig med forståelse av teknologien og jussen innen sporingsteknologi sammen med ulike typer virksomheter. Bruk av sporingsteknologi som deler persondata må i praksis være basert på et samtykke og velger du å implementere denne teknologien på ditt nettsted eller i din app, så er du ansvarlig under GDPR for valget du tar.
En liten gladnyhet er likevel at EU har foreslått å fjerne samtykkekravet for enkel analytics, gjennom EUs Digital Omnibus-forslaget. Vi er nesten helt sikre på at denne delen av forslaget blir vedtatt fordi dette er en god og fornuftig endring av dagens regler.
HØYT OVERTREDELSESGEBYR FOR DELING AV PERSONOPPLYSNINGER FRA DATINGAPP
Den såkalte Grindr-saken ble i oktober endelig avgjort i lagmannsretten etter en runde i personvernnemnda og tingretten. Saken er ikke anket til Høyesterett. Ettersom Grindr-datingappen i hovedsak retter seg mot LGBTQ+ samfunnet, fant retten at personopplysningene som ble delt med tredjeparter var egnet til å gi indirekte informasjon om brukernes seksuelle orientering, som utgjør særlige kategorier av personopplysninger etter GDPR artikkel 9. I likhet med tidligere instanser fant lagmannsretten videre at den amerikanske datingplattformen Grindr manglet gyldig behandlingsgrunnlag for å behandle særlige kategorier av personopplysninger, fordi samtykket brukerne hadde gitt ikke var gyldig.
Det var knyttet stor spenning til om overtredelsesgebyrets størrelse ville bli stående, og hvor langt lagmannsretten ville gå for å overprøve Datatilsynets vurdering. Lagmannsrettens fant at sanksjonshjemmelen ga vide rammer for utmåling og åpnet for omfattende og inngripende reaksjoner. Når saken ikke hadde noen klare sammenlignbare tilfeller mente retten at både hensynet til Grindrs rettssikkerhet og behovet for å utvikle klare retningslinjer for utmålingen talte for at domstolen ikke bør være særlig tilbakeholden i overprøvingen. På grunn av overtredelsens grove karakter, Grindrs forsettlige handling og det faktum at formålet med delingen var å selv skaffe inntekter, ble gebyret på 65 millioner kroner opprettholdt. Dette er norsk rekord.
RELATIV TILNÆRMING TIL HVA SOM ER PERSONOPPLYSNINGER
I år kom EU-domstolen med sin avgjørelse i SRB-dommen (C-413/23 P). Avgjørelsen slo fast at pseudonymiserte data ikke alltid vil være å anse som personopplysninger for alle involverte. Saken oppstod under forordning 2018/1725 for EU-institusjoner, men bygger på samme begreper som GDPR og skal forstås likt. Vurderingen av hvorvidt det er snakk om pseudonymiserte opplysninger skal etter avgjørelsen komme an på om mottakeren faktisk og rettslig har mulighet til å re-identifisere personene opplysningene knytter seg til.
Personvernrådet og tilsynsmyndigheter har i lengre tid lagt til grunn en streng linje for når opplysninger er anonymiserte. Så lenge data kan tilskrives en fysisk person ved bruk av tilleggsinformasjon, skal data som klar hovedregel regnes som personopplysninger. Dette gjelder, ifølge EDPB sine retningslinjer, også for mottakere som ikke har nødvendig tilleggsinformasjonen til å kunne reidentifisere de som opplysningene gjelder. SRB-avgjørelsens avklaring legger til grunn en annen forståelse enn den som følger av EDPBs nåværende retningslinjer, og åpner et større handlingsrom for deling. Les hva vi skrev om dommen da den kom her.
Det blir spennende å se hvordan denne nye praksisen blir, hvordan tilsynsmyndighetene tolker avgjørelsen og hva som skal anses som personopplysninger når forslagene fra EUs Digital Omnibus er ferdigbehandlet.
FORSLAG OM «DIGITAL LAVALDER»
Regjeringen har i 2025 sendt to lovforslag med formål å beskytte barn på nett på høring. Det ene gjelder heving av aldersgrensen for samtykke til behandling av personopplysninger fra 13 til 15 år. Det andre gjelder en ny lov om absolutt 15-årsgrense for sosiale medier. En sammenlignbar lov er allerede gjennomført i Australia og mange stater ser ut til å følge etter – deriblant Norge.
Hevingen av aldersgrensen for samtykke til behandling av personopplysninger vil innebære en endring av personopplysningsloven § 5. Ifølge GDPR har hver medlemsstat mulighet til å fastsette en nedre aldersgrense for samtykke, så lenge den er på minst 13 år. Norge har i dag lagt seg på den nedre grensen, i likhet med land som Sverige og Finland. Regjeringen har nå foreslått å heve den til 15 år, tilsvarende det Danmark gjorde for en tid tilbake. Aldersgrensen betyr at barn under 15 år ikke kan samtykke til behandling av personopplysninger i forbindelse med informasjonssamfunnstjenester, typisk sosiale medier, dataspill, musikk- og videospillere og IOT-tjenester. Foreldre kan imidlertid samtykke på vegne av barnet sitt.
Den nye loven om aldersgrense for sosiale medier er derimot foreslått å innebære en absolutt grense, som betyr at foreldre ikke kan samtykke til barnets bruk av sosiale medier. Forslaget definerer sosiale medier som informasjonssamfunnstjenester som lar brukerne opprette en profil, knytte kontakt med andre brukere og laste opp innhold som lagres og formidles til allmennheten uten redaksjonell kontroll. Tjenester som rammes vil typisk være Snapchat, Facebook, Instagram og TikTok.
Plikten til å overholde aldersgrensen pålegges tilbyderne, ikke foreldrene eller barna selv. De må iverksette «nødvendige tiltak» for å sikre at disse ikke tilbyr sosiale medier til en bruker som de med rimelig sikkerhet er klar over at er under 15 år. Det er foreslått at loven skal gjelde for utenlandske tilbydere som retter tjenestene sine mot Norge. Selv om forslaget har vekket stort engasjement, har det derfor også fått kritikk for å være i strid med EU- og EØS-retten som begrenser Norges mulighet til å regulere utenlandske aktører.
